Finanční služby na Internetu
Vyplnit složenku (dvakrát, protože napoprvé jste se přepsali), dojít na poštu, vystát frontu, přežít srážku s poštovní úřednicí, předat hotovost, vzít si ústřižek jako jediný doklad o zaplacení (a stresovat se, abyste ho neztratili), odejít… To není popis nějaké bizarní formy sebetrýzně, ale vzpomínka na běžné vyřízení bankovního převodu z doby ještě před nějakými 20 lety. Ještě že už dneska máme ten Internet.
Osobní finance on-line
Internet totiž oblast správy osobních financí značně zjednodušil, především v podobě nástroje označovaného jako on-line bankovnictví. V České republice jej poprvé nabídla v roce 1998 česká Expandia Banka. Vzhledem k tehdejším technickým možnostem ovšem služba nabízela jen základní funkce (převody, historie plateb a podobně) a nabídka platila pouze pro ty, kdo byli ochotni si zřídit elektronický podpis.
Ale v průběhu let se začaly přidávat další banky včetně těch kamenných či tradičních (lídři bankovního trhu jako Česká spořitelna, ČSOB či Komerční banka), takže dnes internetové bankovnictví patří do povinné výbavy každého bankovního domu a představuje nejrozšířenější typ takzvaného přímého bankovnictví. Klienti si oblíbili nepřetržitou dostupnost, rychlost a jednoduchost bankovních operací, banky zase úspory provozních nákladů.
Co jsou nejčastěji používané funkce? Kromě zmíněných jednorázových platebních transakcí je to také zadávání trvalých příkazů nebo možnost generovat vlastní výpisy z účtu (za určité období, podle konkrétního účtu, který byl předmětem transakce, podle výše částky a podobně). V závislosti na typu účtu pak on-line bankovnictví nabízí i pokročilejší funkce jako zahraniční platební styk, správu vydaných platebních karet (například změna PIN, limitu výběru či platby na Internetu), správu více účtů, žádost o úvěr a jiné služby.
Bezpečnost na prvním místě
Přes své nesporné výhody si ale internetové bankovnictví hledalo cestu k běžným uživatelům docela dlouho. Osobní finance jsou citlivá věc a lidé zprvu neměli k novince důvěru – spravování financí přes Internet pro ně představovalo nepřijatelné riziko. A bezpečnostní řešení, která dokázala tyto obavy rozptýlit, byla pro běžného uživatele příliš složitá (zmíněný elektronický podpis nebo speciální terminál, který bylo třeba vždy připojit k počítači).
Postupně ale Internet a celkový rozvoj v oblasti komunikačních technologií nabídl taková opatření a nástroje, která přinesla přijatelnou úroveň zabezpečení a zároveň uživateli nekladla zbytečné překážky v jejich používání. Jednalo se zejména o oblast zabezpečení spojení mezi počítačem uživatele a serverem, na němž běží služba, a oblast přihlašování.
Jistotu dá certifikát
Pro ověření zabezpečení spojení se serverem se dnes používají zejména certifikáty. Ty potvrzují identitu serveru a také obsahují informace o úrovni šifrování komunikace a dalších bezpečnostních prvcích, které by měly chránit uživatele před „odposloucháváním”.
U certifikátů rozlišujeme dvě úrovně:
- První, řekněme základní, garantuje uživateli ověření domény a šifrované spojení, ale neříká nic o pravém vlastníkovi domény. S takovým certifikátem se setkáte třeba na stránkách Facebook.com.
- Druhá, pokročilá úroveň, potvrzuje, že vlastník domény prošel přesnějším ověřovacím procesem. Díky tomu certifikát obsahuje jednoznačné identifikační informace o vlastníkovi. Takovým certifikátem jsou opatřeny právě třeba stránky pro přihlášení do internetového bankovnictví.
Většina internetových prohlížečů dnes obsahuje funkci, která uživateli v adresním řádku graficky znázorní jednotlivé úrovně zabezpečení spojení se serverem. Podrobnosti o tom, jak přesně, najdete v nápovědě k prohlížečům.
Pozor na phishing
Díky zabezpečením certifikátem lze odhalit i pokus o phishing. Jde o typ útoku, který se snaží uživatele vylákat na podvržené stránky, na nichž útočníci sbírají citlivé informace.
Typický scénář je takovýto: uživateli přijde e-mail, který nese znaky oficiální komunikace banky, u níž má účet. E-mail upozorňuje na smyšlený problém, který lze vyřešit pouze přihlášením do internetového bankovnictví, na něž je v e-mailu uveden odkaz. Přes něj se uživatel dostane na stránky, které jako by z oka vypadly těm provozovaných bankou. Uživatel vyplní své přihlašovací údaje a odešle je rovnou útočníkům.
Stránky jsou sice identické, ale že je něco v nepořádku by měla signalizovat právě varovná ikona v adresním řádku (ani samotná adresa neodpovídá oficiální doméně bankovní služby, ale zpravidla je velice podobná). Za normálních okolností by totiž ikona měla indikovat šifrované a ověřené spojení se serverem.
Kromě toho také platí, že banky zásadně e-mailem (ani telefonicky) nevyzývají své klienty k přihlášení do on-line bankovnictví a rozhodně po nich takovým způsobem nevyžadují přihlašovací údaje.
Nová transakce, nové heslo
Pokud jde o samotné přihlašování a autentifikaci uživatele v internetovém bankovnictví, zde se nejširšího uplatnění dočkala metoda OTP (one-time password). Jde vlastně o speciální typ jednorázového hesla, které je platné pouze pro jediné spojení mezi počítačem a serverem, případně pro jedinou konkrétní transakci.
V praxi to vypadá tak, že uživatel se k internetovému bankovnictví přihlásí pomocí standardních přihlašovacích údajů, ale provedení jednotlivých transakcí (platební příkaz, změny ve správě účtu, zadání nového trvalého příkazu atd.) musí potvrdit ještě speciálním jednorázovým heslem, které mu provozovatel služby poskytne například formou SMS.
Doporučená videa Jak na Internet:
Internetové bankovnictví
Jak bezpečně nakupovat
Serverové certifikáty
Šifrování
Elektronický podpis
Ochrana osobních údajů
Další zajímavé články a zdroje:
Online bankovnictví, Wikipedie
Kryptografie, Wikipedie
HTTPS, Wikipedie
Jak poznám, zdali je spojení se serverem zabezpečené?, Nápověda pro prohlížeč Mozzila Firefox